Worm.Win32.Hai

Detalles técnicos

Este es un gusano de red local que se propaga en los sistemas Win32. El gusano en sí es un archivo ejecutable de Win32 de aproximadamente 60K de longitud, y está escrito en MS Visual C ++. La versión conocida del gusano está encriptada por la herramienta de protección de archivos PELock Win32 EXE.

El proceso de distribución distribuye la copia del gusano a través de una red local a las unidades que se comparten para leer / escribir. El gusano enumera los recursos de red (directorios compartidos) y busca WINDOWS allí. Si se encuentra dicho subdirectorio, el gusano se copia allí con un nombre EXE aleatorio (por ejemplo, RLITK.EXE, STNXOUL.EXE) y registra esa copia en un archivo WIN.INI, sección [windows], "Ejecutar =" comando (comando de ejecución automática). Como resultado, el gusano solo puede infectar máquinas Win9x (WinNT no usa archivos WIN.INI, sino que usa un registro en su lugar).

Al modificar el archivo WIN.INI, el gusano utiliza un archivo WIN.HAI temporal; por lo tanto, el gusano se nombra de esa manera.

El gusano también escanea la red local y otras direcciones IP. Mientras escanea, el gusano simplemente obtiene la siguiente dirección IP, intenta abrir una conexión a esa máquina y luego cierra inmediatamente la conexión y no utiliza el resultado de la conexión de ninguna manera.

El algoritmo de escaneo aparece de la siguiente manera: el gusano obtiene la dirección IP de la máquina actual como una "dirección base" y luego ejecuta dos procesos: el primero escanea todas las direcciones IP al incrementar la dirección base, y el segundo lo hace disminuyendo la base dirección.

Por ejemplo, si la IP de una máquina actual es 192.3.2.1, el gusano escaneará:

 primer proceso segundo proceso

 192.3.2.1 192.3.2.1
 192.3.2.2 192.3.1.255
 192.3.2.3 192.3.1.254
 192.3.2.4 192.3.1.253
 ... ...
 192.3.2.255 192.3.1.1
 192.3.3.1 192.2.255.255
 ... ...
 192.3.255.255 192.1.1.1
 192.4.1.1 191.255.255.255